EuGH: Mehr Arbeitnehmerüberwachung!

Erfahren Sie, wie der EuGH zu dem überraschenden Schluss gelangt ist, dass Unternehmen ihre Arbeitnehmer konsequent überwachen müssen, um Forderungen nach DSGVO-Schadensersatz erfolgreich abzuwehren.

Kürzlich hat der Europäische Gerichtshof (EuGH) entschieden, dass Unternehmen grundsätzlich für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) haften, selbst wenn diese Verstöße von Mitarbeitern begangen wurden, die interne Richtlinien nicht eingehalten haben. Unternehmen müssen nicht nur nachweisen, dass sie ihre Mitarbeiter zu datenschutzkonformem Verhalten angeleitet haben, sondern auch sicherstellen, dass diese Anweisungen von den Mitarbeitern korrekt umgesetzt werden.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/EuGH_Mehr Arbeitnehmerueberwachung.pdf

Urteil des Europäischen Gerichtshofs:
Aktenzeichen C‑741/21

Datenschutz bei Mitarbeiter-Apps

Im Zuge einer steigenden Tendenz setzen immer mehr Unternehmen auf Mitarbeiter-Apps, die sich sowohl auf Smartphones als auch auf PCs, Laptops oder Tablets nutzen lassen. Besonders während der Umstellung von Büroarbeit auf Homeoffice dienen diese Anwendungen vorrangig dem Austausch von Wissen und der Verbesserung der Vernetzung.

Durch solche Apps können Unternehmen beispielsweise Mitarbeiterinnen und Mitarbeitern unabhängig von ihrem Standort und der Uhrzeit wichtige interne Neuigkeiten mitteilen oder mit ihnen kommunizieren. Zusätzlich können sie für Aufgaben wie die Zeiterfassung, das Einreichen von Urlaubsanträgen sowie für digitale Schulungen oder Pflichtunterweisungen genutzt werden.

Doch was ist aus Sicht des Datenschutzes zu beachten? Trotz aller Flexibilität und Vielfalt dürfen Arbeitgeber die Anforderungen an eine datenschutzkonforme Nutzung von Mitarbeiter-Apps nicht vernachlässigen. Für die Verarbeitung personenbezogener Daten von Beschäftigten im Zusammenhang mit diesen Apps ist gemäß Artikel 5 Absatz 1 Satz 1 Buchstabe a und Artikel 6 der Datenschutz-Grundverordnung (DSGVO) grundsätzlich eine geeignete Rechtsgrundlage erforderlich. Diese hängt von den Zielen ab, die mit der App verfolgt werden, sowie von den spezifischen Funktionen.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Datenschutz_bei_Mitarbeiter-Apps.pdf

DSK veröffentlicht Orientierungshilfe „Künstliche Intelligenz und Datenschutz“

Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ zielt darauf ab, Unternehmen, Behörden und andere Organisationen zu unterstützen. Sie fungiert als Checkliste und Leitfaden, um KI-Anwendungen auszuwählen, zu implementieren und zu nutzen. Diese Orientierungshilfe wird kontinuierlich weiterentwickelt und an aktuelle Entwicklungen angepasst.

Aktuell stellen sich viele öffentliche und private Einrichtungen die Frage, unter welchen Bedingungen sie KI-Anwendungen datenschutzkonform einsetzen können.

Ein besonderes Augenmerk liegt dabei auf den sogenannten Large Language Models (LLM), die oft als Chatbots genutzt werden, aber auch als Grundlage für andere Anwendungen dienen können. Deshalb liegt der Fokus der Orientierungshilfe „KI und Datenschutz“ auf diesen KI-Anwendungen. Trotzdem gibt es viele weitere KI-Modelle und -Anwendungen, für die die Erwägungen in dem von der Datenschutzkonferenz veröffentlichten Papier von Bedeutung sind.

Die Orientierungshilfe behandelt praxisnahe Fragen, die Datenschutzbeauftragte bei der Konzeption, Auswahl, Implementierung und Nutzung von KI-Anwendungen berücksichtigen müssen. Von der Zweckbestimmung über Transparenzpflichten bis hin zu Betroffenenrechten und der Richtigkeit von Ergebnissen werden wichtige Kriterien entlang der Vorgaben der Datenschutz-Grundverordnung erörtert und Leitlinien für entsprechende Entscheidungen aufgezeigt.

Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ wurde von der Taskforce KI unter dem Vorsitz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz erarbeitet. Die Taskforce KI der Datenschutzkonferenz hat bereits 2019 die Hambacher Erklärung zur Künstlichen Intelligenz veröffentlicht und beschäftigt sich derzeit mit der datenschutzrechtlichen Prüfung des Dienstes ChatGPT.

Die Orientierungshilfe richtet sich auch indirekt an Entwickler, Hersteller und Anbieter von KI-Systemen, da sie Hinweise zur Auswahl datenschutzkonformer KI-Anwendungen enthält, die sich auf die Produktgestaltung auswirken können. Die Entwicklung von KI-Anwendungen und das Training von KI-Modellen sind jedoch nicht der Schwerpunkt dieser Orientierungshilfe.

Download der Orientierungshilfe:
datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf

Weitere Orientierungshilfen und Checklisten der DSK:
datenschutzkonferenz-online.de/orientierungshilfen.html

Datenschutzverstoß: Klarna muss 7,5 Millionen Kronen Strafe zahlen

Stockholm, 19. April 2024 – Das Berufungsgericht in Stockholm hat in einem aktuellen Urteil die ursprüngliche Strafe von 7,5 Millionen Kronen (ca. 671.000 Euro) gegen das schwedische Fintech-Unternehmen Klarna wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) bestätigt.

Die Entscheidung ist das Ergebnis einer langen juristischen Auseinandersetzung, die im März 2022 mit einer Sanktion durch die schwedische Datenschutzbehörde IMY (Integritetsskyddsmyndigheten) begann. Klarna wurde vorgeworfen, auf seiner Website unzureichende Informationen über den Zweck und die Rechtsgrundlage der Datenverarbeitung sowie mangelnde Angaben zur Weitergabe und Übertragung von Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) bereitgestellt zu haben. Zudem bemängelte die IMY die unzureichende Aufklärung der Betroffenen über ihre Rechte.

In einem ersten Schritt legte Klarna erfolgreich Berufung gegen die Sanktion ein und erreichte eine Reduzierung auf sechs Millionen Kronen. Die jüngste Berufung des Unternehmens scheiterte jedoch: Das Gericht stellte die ursprüngliche Strafe wieder her und bezeichnete sie als „wirksam, verhältnismäßig und abschreckend“.

Das Urteil des Berufungsgerichts hat weitreichende Konsequenzen für die Datenschutzpraxis von Unternehmen im Fintech-Sektor und darüber hinaus. Klarna hat bisher keine Stellungnahme zu dieser aktuellen Entwicklung abgegeben.

Die wichtigsten Punkte der Entscheidung:

  • Klarna muss 7,5 Millionen Kronen Strafe wegen Verstößen gegen die DSGVO zahlen.
  • Das Gericht bestätigte die ursprüngliche Sanktion der IMY.
  • Unternehmen müssen umfassende und transparente Informationen zur Datenverarbeitung bereitstellen.
  • Die Rechte der Betroffenen müssen klar und deutlich kommuniziert werden.
  • Das Urteil hat Signalwirkung für den Datenschutz im Fintech-Sektor.

Fazit:

Die Entscheidung des Berufungsgerichts in Stockholm unterstreicht die Bedeutung eines konsequenten Datenschutzes in der digitalen Welt. Unternehmen müssen die DSGVO strikt einhalten und die Privatsphäre ihrer Kunden respektieren. Verstöße gegen die Verordnung können mit empfindlichen Sanktionen geahndet werden.

Übersicht von Geldbußen für DSGVO-Verstöße:
https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/

Tätigkeitsbericht der Sächsischen Datenschutz- und Transparenzbeauftragten 2023

Die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert hat ihren Tätigkeitsbericht für den Zeitraum 1. Januar bis 31. Dezember 2023 veröffentlicht. In diesem wurde wiederholt ein Anstieg der gemeldeten Datenpannen im Vergleich zum Vorjahr sowie ein weiterhin hoher Beratungsbedarf festgestellt.

Der Tätigkeitsbericht ist nach Themenbereichen übersichtlich aufgebaut und gibt eine wertvolle Orientierung zum Umgang mit den unterschiedlichsten Datenschutzaspekten in Unternehmen und öffentlichen Einrichtungen.

Hier finden Sie den Tätigkeitsbericht für 2023:
https://www.datenschutz.sachsen.de/download/taetigkeitsberichte/Taetigkeitsbericht_Datenschutz_2023.pdf

Hier finden Sie die Pressemitteilung zum Tätigkeitsbericht:
https://www.medienservice.sachsen.de/medien/news/1074934

Prüfunterlagen Ransomware-Nachprüfung

Deutsche Datenschutzbehörden führen im Rahmen ihrer gesetzlichen Aufgabe von Zeit zu Zeit Prüfungen bei Unternehmen und Organisationen durch. Diese Überprüfungen können sowohl gezielt aufgrund bestimmter Anlässe als auch ohne spezifischen Anlass erfolgen. Gegenwärtig haben Unternehmen, die in den vergangenen Jahren einen Ransomware-Angriff gemeldet hatten, Schreiben vom Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) erhalten.

Ziel der Ransomware-Nachprüfung ist die Abfrage des aktuellen Sicherheitsstands, ob Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO einen wirksamen Schutz gegen Ransomware-Angriffe gewährleisten.

Auszug aus dem Anschreiben:

„…Wir gehen davon aus, dass Sie im Rahmen der Aufarbeitung des Vorfalls ihrerseits ggf. die Sicherheitsmaßnahmen ausgeweitet oder zumindest angemessen angepasst haben. Im Rahmen der vorliegenden Ransomware-Nachprüfung möchten wir nun Ihren aktuellen Sicherheitsstand diesbezüglich abfragen. Die dazugehörigen Prüfunterlagen liegen diesem Schreiben bei (Anlage A). Mit dieser Prüfung bestätigen Sie uns damit bei Ihnen durchgeführte Maßnahmen zur Sicherheit nach Art. 32 DS-GVO. Falls bestimmte Maßnahmen bei Ihnen nicht ergriffen werden konnten, sind ergänzende Ausführungen zur Begründung möglich…“

Anschreiben und Fragebogen des BayLDA:
https://www.lda.bayern.de/media/pruefungen/Ransomware_Followup_Anschreiben.pdf

KI & Datenschutz

Mit dem Aufkommen des Großen Sprachmodells ‚ChatGPT‘ Ende 2022 hat der Begriff der ‚Künstlichen Intelligenz‘ eine erheblich größere Verbreitung erfahren, obwohl das Thema selbst sowie viele Datenschutzfragen schon seit geraumer Zeit bestehen. Durch die zunehmende Zugänglichkeit sehr leistungsfähiger KI-Modelle und die Nutzung von bisher eher wissenszentrierten Technologiefirmen über Web- oder Softwareschnittstellen ist es nun praktisch für jeden möglich geworden.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat aus diesem Grund ein Informationsangebot zum Datenschutz und zur Künstlichen Intelligenz veröffentlicht.

In einem ersten Schritt wurde der Flyer ‚Next-Level-Bausteine für KI‘ erstellt, der über acht zentrale Punkte im Bereich Datenschutz und KI aufklären soll. Darüber hinaus ist auf der BayLDA-Webseite auch der aktuelle Stand eine Checkliste ‚Datenschutz und KI‘ veröffentlicht, die in naher Zukunft sowohl aktualisiert als auch in spezifischen Prüfszenarien auf ihre Praxistauglichkeit überprüft wird. Diese Checkliste, die einen Good-Practice-Ansatz verfolgt, wird auch regelmäßig an Entwicklungen auf deutscher und europäischer Ebene angepasst, um eine Harmonisierung der Datenschutzvorschriften zu erreichen.

Lesen Sie mehr unter:
https://www.lda.bayern.de/de/ki.html

Positionspapier der DSK:
https://www.datenschutzkonferenz-online.de/media/en/20191106_positionspapier_kuenstliche_intelligenz.pdf

Datenschutz & die Cybersicherheitslage

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer besorgniserregenden Entwicklung: Ransomware-Angriffe richten sich zunehmend gegen kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Dies bedeutet, dass nicht nur große Unternehmen, sondern auch lokale Einrichtungen im Fokus stehen.

Die Auswirkungen sind unmittelbar spürbar, wenn bürgernahe Dienstleistungen vorübergehend ausfallen oder persönliche Daten in die Hände von Kriminellen gelangen. Es ist daher entscheidend, dass alle Organisationen, unabhängig von ihrer Größe, ihre IT-Sicherheitsmaßnahmen überprüfen und verstärken.

Datenschutz & die Cybersicherheitslage

Cybersicherheit ist bereits seit vielen Jahren ein wichtiges Thema – und zugleich eines, bei dem die Brisanz nicht nachlässt, sondern vielmehr ständig zunimmt. Immer mehr Systeme, Geräte und ganze industrielle Anlagen werden mit dem Internet verbunden und sind damit einer scheinbar exponenziell wachsenden Zahl von Bedrohungen ausgesetzt.

BSI – hilfreiche Quelle für Lagebilder und Tipps

Fortlaufend bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Lage mit Bezug zur Informationssicherheit in Deutschland. Seit Beginn des Angriffs Russlands auf die Ukraine ist es in Deutschland zu zusätzlichen IT-Sicherheitsvorfällen gekommen.

Das BSI ruft Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen.

Cybersicherheitslage überblicken und handeln

Im Podcast der „Datenschutz PRAXIS“ wurden Isabel Münch, Fachbereichsleiterin IT-Sicherheitslage beim Bundesamt für Sicherheit in der Informationstechnik (BSI), deshalb folgende Fragen gestellt:

  • Das BSI bewertet regelmäßig die Cybersicherheitslage. Zuerst einmal: Wie würden Sie die aktuelle Lage beschreiben? Gehören personenbezogene Daten zu den wesentlichen Zielen der Cyberattacken?
  • Was macht die Cybersicherheitslage so dynamisch, warum muss man die Lage fortlaufend neu bewerten?
  • Mit welchen Verfahren bewertet denn das BSI die Lage?
  • Haben Sie Empfehlungen, wie man als Unternehmen einen eigenen Lagebericht erhalten könnte?
  • Welche Informationsquellen bietet das BSI, damit sich Unternehmen ein Bild der Cybersicherheitslage machen können?
  • Wie können Lageberichte helfen, damit man als Unternehmen mögliche Angriffe besser erkennen und abwehren kann?
  • Wie sieht eine gute Strategie zur Vorbeugung aus? Welche konkreten Tipps zur Vorbeugung können Datenschutzbeauftragte in ihr Unternehmen oder ihre öffentliche Stelle einbringen?
  • Was sollten sie als erstes tun, wenn sie den Podcast gehört haben?

(Quelle: https://www.datenschutz-praxis.de)

Podcast anhören:
https://datenschutz-praxis-podcast.podigee.io/31-cybersicherheitslage

Aktuelle, vom BSI bewertete Cybersicherheitslage:
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Cyber-Security-Check durch die PRODATIS CONSULTING AGUnser Cyber-Security-Check, auch Pentest genannt, ist eine Simulation eines Cyberangriffs auf Ihre IT-Infrastruktur. Unsere Sicherheitsexperten analysieren Ihre Sicherheitsprozesse und zeigen Ihnen, wie Hacker in Ihre Systeme eindringen könnten.Wir überprüfen Ihre externen Anschlüsse und elektronischen Systeme wie Netzwerke, Daten, Firewalls und mobile Endgeräte. So erhalten Sie einen vollständigen Überblick über Ihre Kommunikationswege.Wir überprüfen auch Ihre Serversicherheit und erstellen eine ausführliche Dokumentation nach BSI-Grundschutz mit Handlungsempfehlungen. So können Sie Schwachstellen frühzeitig erkennen und schließen, bevor sie zu einem Ernstfall führen.

Informationen zum PRODATIS Cyber-Security-Check:
https://www.prodatis.com/de/beratung/it-sicherheit/cyber-security-check/

Prospekt zum PRODATIS Cyber-Security-Check:
https://datenschutz.prodatis.com/nl/prodatis_cybersecurity.pdf

Sprechen Sie uns an, unter: +49 (0) 351 266 23 30

Kundendaten unternehmensübergreifend nutzen

Die DSGVO schränkt die Datenverarbeitung von Unternehmen in Konzernstrukturen ein. Dies gilt für alle Verarbeitungsvorgänge, die innerhalb des Konzerns stattfinden. Die Verantwortung für die Datenverarbeitung liegt damit bei den jeweiligen Unternehmen. Dies erleichtert zwar die Haftungsordnung, erschwert jedoch die Nutzung von Daten für konzernweite Zwecke.

Die DSGVO hat das klassische Konzernprivileg abgeschafft. Unternehmen, die Teil eines Konzerns sind, dürfen personenbezogene Daten nur noch zu internen Verwaltungszwecken zentral verwalten (siehe Erwägungsgrund 48 zur DSGVO). Die werbliche Nutzung ist nicht zulässig. Für die Weitergabe von Daten über Unternehmensgrenzen hinweg ist eine Rechtsgrundlage erforderlich. Zudem müssen Verantwortliche die Betroffenen über die Weitergabe informieren.Lösungen für dieses Problem sind rar, doch es gibt sie.

Lesen Sie mehr unter:
https://datenschutz-prodatis.com/nl/Kundendaten_unternehmensuebergreifend_nutzen.pdf

Privacy by Design: Umsetzungstipps für die Praxis

Die zunehmende Verbreitung von KI-Lösungen stellt Unternehmen vor neue Herausforderungen im Datenschutz. Die DSGVO schreibt vor, dass bereits bei der Planung und Durchführung einer Verarbeitung geeignete technische und organisatorische Maßnahmen (TOM) getroffen werden müssen, um die Datenschutzgrundsätze zu gewährleisten. Diese Verpflichtung gilt auch für KI-Lösungen. Privacy by Design ist ein Ansatz, der diese Anforderungen erfüllt. Er besagt, dass Datenschutz bereits bei der Entwicklung von Produkten und Dienstleistungen berücksichtigt werden sollte. Dadurch können Unternehmen die Risiken für die Privatsphäre der Nutzer frühzeitig identifizieren und vermeiden.

Doch die gesetzlichen Anforderungen an die konkrete Umsetzung durch Technikgestaltung sind weniger bekannt. Erfahren Sie mehr über diese Anforderungen und wie Sie diese erfüllen können.

Lesen Sie mehr unter:
https://datenschutz-prodatis.com/nl/Privacy_by_Design_Umsetzungstipps_fuer_die_Praxis.pdf